CVE-2020-37252: Realtek Audio Service sårbarhed
Fejl i Realtek Audio Service lader lokale angribere overtage fuld kontrol over din Windows-computer.
Hvad er det?
Realtek Audio Service (version 1.0.0.55) indeholder en fejl kaldet en unquoted service path-sårbarhed. Det betyder, at Windows leder efter programfiler på en ukorrekt måde, når lydtjenesten starter op. En angriber med begrænset adgang til computeren kan udnytte dette til at placere et ondsindet program i en bestemt mappe. Når computeren genstarter eller tjenesten starter, kører Windows automatisk det ondsindede program med de højeste systemrettigheder (såkaldte LocalSystem-rettigheder). Fejlen er klassificeret som CWE-428, som netop beskriver denne type sårbarhed med ukorrekte stihenvisninger til programfiler.
Hvem rammer det?
Sårbarheden rammer alle Windows-computere, der har Realtek Audio Service version 1.0.0.55 installeret. Realtek er en af de mest udbredte lydchipproducenter i verden, og deres drivere er forudinstalleret på et meget stort antal bærbare og stationære computere. Din virksomhed kan være berørt, hvis I bruger computere med Realtek-lydkort — hvilket gælder de fleste standard Windows-PC’er og bærbare fra producenter som ASUS, Dell, HP, Lenovo og mange andre.
Hvad kan ske?
En angriber, der allerede har begrænset adgang til computeren — f.eks. en medarbejder med en standard-brugerkonto eller en hacker, der er kommet ind via en phishing-mail — kan udnytte fejlen til at:
- Opnå fuld administratoradgang (LocalSystem) til computeren
- Installere ransomware, spyware eller bagdøre uden at blive opdaget
- Stjæle følsomme data, adgangskoder og forretningshemmeligheder
- Sprede sig videre til andre systemer på virksomhedens netværk
- Slette eller kryptere vigtige filer og lamme din virksomhed
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 7.8 ud af 10, hvilket klassificeres som alvorlig. Angrebet kræver, at angriberen allerede har fysisk eller digital adgang til computeren med en brugerkonto — men kræver ingen administratorrettigheder på forhånd. Det gør fejlen særligt farlig i virksomhedsmiljøer, hvor flere medarbejdere deler systemer, eller hvor en enkelt kompromitteret konto kan bruges som springbræt. Konsekvenserne for fortrolighed, integritet og tilgængelighed er alle vurderet til maksimum (HIGH).
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed hurtigst muligt:
- Identificér berørte computere: Tjek om din virksomheds Windows-computere har Realtek Audio Service installeret. Søg i Windows efter ‘RtkAudioService64.exe’ eller se under Tjenester (services.msc).
- Opdatér Realtek-drivere: Besøg din computers producents supportside (f.eks. Dell, HP, Lenovo) eller Realteks hjemmeside og installér den nyeste lyddriver, der afhjælper denne fejl.
- Begræns brugerrettigheder: Sørg for, at medarbejdere ikke har lokale administratorrettigheder, medmindre det er strengt nødvendigt — dette begrænser skadens omfang.
- Overvåg opstartsprogrammer: Gennemgå hvilke programmer der kører ved systemopstart, og fjern ukendte eller mistænkelige filer fra systemet.
- Kontakt jeres IT-partner: Bed om en gennemgang af alle firmacomputere og få bekræftet, at opdateringen er gennemført korrekt på alle maskiner.
Opdatér inden for 30 dage
Vi anbefaler, at du prioriterer opdatering af Realtek-drivere på alle virksomhedens Windows-computere hurtigst muligt. Selvom angrebet kræver lokal adgang, er det en velkendt angrebsvej, som hackere bruger efter at have fået fodfæste via f.eks. phishing. Kombinér opdateringen med en gennemgang af brugerrettigheder, så ingen medarbejdere har unødige administratorrettigheder. Har du brug for hjælp til at kortlægge og opdatere dine systemer, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Medarbejder som springbræt
En medarbejder åbner en phishing-mail og downloader ubevidst et program, der giver en hacker adgang til hans brugerkonto. Hackeren opdager, at computeren kører Realtek Audio Service 1.0.0.55, og placerer et ondsindet program i den sårbare mappe. Næste gang computeren genstarter — f.eks. efter en Windows-opdatering — kører det ondsindede program automatisk med fuld systemadgang, og hackeren har nu komplet kontrol over maskinen.
Utilfreds medarbejder eskalerer rettigheder
En medarbejder med en standard-brugerkonto ønsker at omgå virksomhedens IT-begrænsninger. Han finder oplysninger om CVE-2020-37252 online og placerer et program i den sårbare sti på sin arbejdscomputer. Efter næste genstart har han fuld administratoradgang og kan installere programmer, tilgå fortrolige filer og slette spor efter sig selv — alt sammen uden at IT-afdelingen opdager det i første omgang.
Ransomware-angreb via lyddriver
En angriber har kompromitteret én computer i virksomheden via en svag adgangskode på en fjernadgangsløsning. Fra denne computer udnytter han Realtek-sårbarheden til at opnå fulde systemrettigheder. Med disse rettigheder installerer han ransomware, der krypterer alle filer på computeren og sprer sig videre til delte netverksdrev — og kræver betaling for at låse filerne op igen.
Ofte stillede spørgsmål
Skal angriberen sidde fysisk ved computeren for at udnytte fejlen?
Ikke nødvendigvis. Angriberen skal have adgang til en brugerkonto på computeren, men det kan opnås på afstand — f.eks. hvis en medarbejder har klikket på et phishing-link eller brugt en svag adgangskode. Herefter kan angriberen udnytte fejlen uden at være fysisk til stede.
Hvordan ved jeg, om min computer har Realtek Audio Service installeret?
Du kan tjekke det ved at trykke på Windows-tasten og søge efter ‘Tjenester’ (eller ‘services.msc’). I listen over tjenester kan du lede efter ‘Realtek Audio Service’. Du kan også se under Enhedshåndtering under Lydenheder, om der er et Realtek-lydkort installeret.
Er det kun den specifikke version 1.0.0.55, der er sårbar?
Ifølge den officielle sårbarhedsrapport er det version 1.0.0.55 af Realtek Audio Service, der er bekræftet sårbar. Vi anbefaler dog, at du opdaterer til den nyeste tilgængelige version uanset hvad, da dette generelt giver den bedste beskyttelse og lukker eventuelle andre kendte fejl.
Hjælper mit antivirusprogram imod dette angreb?
Et antivirusprogram kan potentielt opdage det ondsindede program, som en angriber placerer på computeren, men det er ikke en garanti. Den bedste beskyttelse er at installere den opdaterede driver, der lukker selve sikkerhedshullet. Antivirus er et godt supplement, men ikke en erstatning for at opdatere softwaren.
Hvad er en 'unquoted service path'-fejl helt konkret?
Det er en fejl, hvor Windows ikke bruger anførselstegn rundt om stihenvisningen til et programs placering. Det betyder, at Windows leder efter programmet på flere forskellige steder i rækkefølge. En angriber kan udnytte dette ved at placere et ondsindet program et af de steder, Windows leder — og så vil Windows køre det i stedet for det rigtige program.
Gælder dette kun for Windows?
Ja, denne type sårbarhed er specifik for Windows-operativsystemet, da den udnytter den måde, Windows håndterer tjenester og programstier på. Mac og Linux er ikke berørt af denne specifikke fejl.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Realtek Audio Service 1.0.0.55 contains an unquoted service path vulnerability in RtkAudioService64.exe that allows local attackers to escalate privileges by injecting malicious code. Attackers can place executable files in the unquoted service path directory to execute arbitrary code with LocalSystem privileges during service startup or system reboot.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
